La BCE donne un délai strict aux banques pour contrer les risques cyber liés à l'IA
La Banque centrale européenne a officiellement demandé aux banques de la zone euro d'élaborer et de transmettre, dans un délai de quatre mois, des plans détaillés de protection face aux cybermenaces accrues par les modèles d'intelligence artificielle. Cette mise en garde, portée par le conseil de surveillance prudentielle, se distingue par sa tonalité prescriptive, en rupture avec les réactions plus mesurées récemment observées chez d'autres grandes banques centrales.
La décision vise en particulier les conséquences possibles de l'usage et de la diffusion de grands modèles de langage — cités dans les échanges réglementaires — dont certaines capacités ont conduit à des restrictions d'accès. La BCE met en avant des risques pouvant affecter la confidentialité, l'intégrité et la résilience des infrastructures informatiques des établissements de crédit.
« Ces développements ont des implications potentiellement profondes pour la confidentialité, l'intégrité et la résilience des systèmes de technologies de l'information et de la communication (TIC) des banques. »
Dans sa lettre aux dirigeants bancaires, la présidence du conseil de surveillance prudentielle a notamment demandé une attention prioritaire portée aux systèmes exposés à Internet, aux logiciels tiers et aux composants open source, ainsi qu'une accélération des correctifs et des dispositifs de surveillance.
Un catalogue d'exigences pratiques pour les banques
- Moderniser les infrastructures informatiques vieillissantes ;
- Améliorer l'hygiène informatique et la gestion des vulnérabilités ;
- Renforcer les plans de continuité, de rétablissement et de partage d'information ;
- Prioriser la protection des systèmes exposés et des composants tiers.
Pour permettre aux établissements de se concentrer sur ces priorités, la BCE a indiqué qu'elle reportera une enquête distincte portant sur l'informatique et qu'elle pourrait adapter son calendrier d'inspections et d'autres travaux de supervision. Elle a également prévu de partager ensuite ses constats pour aider à identifier les domaines à améliorer.
Conséquences pour les banques françaises et l'économie
Pour les acteurs bancaires en France, l'injonction bruxelloise implique des coûts opérationnels et des arbitrages rapides : mise à niveau des systèmes, recrutement d'experts en cybersécurité, et renforcement des tests de résilience. Ces dépenses peuvent peser sur les marges à court terme, mais elles répondent à un enjeu systémique : une attaque ciblée exploitant des capacités d'IA pourrait compromettre les services de paiement et la confiance des déposants.
La posture de la BCE marque également une volonté de réduire l'écart réglementaire entre acteurs financiers et fournisseurs technologiques. En exigeant des plans formalisés, l'autorité européenne cherche à limiter les risques de propagation transfrontière d'incidents majeurs et à préserver la stabilité du système bancaire.
Calendrier et suivi
Les banques disposent jusqu'au 31 octobre pour soumettre leurs plans. La BCE, qui a organisé des échanges avec les établissements au printemps pour recueillir leurs retours, utilisera ensuite ces contributions pour produire une synthèse des défis communs et des bonnes pratiques identifiées.
| Élément | Détail |
|---|---|
| Délai imposé | 4 mois (soumission avant le 31 octobre) |
| Objectifs | Protéger la confidentialité, l'intégrité et la résilience des TIC bancaires |
| Mesures attendues | Modernisation, correctifs, gestion de crise, partage d'informations |
Au terme de cette phase, la BCE pourra adapter ses inspections et orienter ses priorités de supervision. Cette démarche traduit une détermination accrue à encadrer l'usage de technologies d'IA potentiellement déstabilisantes, et contraint les banques à accélérer leur transformation numérique sous peine d'exposition accrue aux risques opérationnels.
Pour l'économie française, la nouveauté tient à la simultanéité et à la fermeté de l'injonction : il s'agit moins d'un simple rappel de bonnes pratiques que d'un impératif supervisé, susceptible d'entraîner des répercussions à la fois sur les dépenses des établissements et sur la résilience du système financier face à des menaces nouvelles.